PKI والشهادات الرقمية للحكومة

الحكومات و PKI تكنولوجيا

تتجه الحكومات الوطنية في جميع أنحاء العالم بشكل متزايد نحو البنية التحتية للمفتاح العام (PKI) والشهادات الرقمية لأغراض:

• برامج الهوية الوطنية.
• الدخول الموحّد (SSO) لمحطات العمل وتطبيقات البرامج.
• توقيع بريد إلكتروني حكومي ومشفّر.
• توثيق المستندات من خلال التوقيعات الرقمية.
• المصادقة على هويات المواطنين للخدمات عبر الإنترنت مثل دفع الضرائب.

برامج الهوية الرقمية الوطنية هي عمل عالمي قيد التنفيذ. وفقا ل تقرير 2016 البنك الدولي، "لدى معظم البلدان النامية شكل من أشكال مخططات الهوية الرقمية المرتبط بوظائف محددة ويخدم مجموعة فرعية من السكان ، لكن القليل منها فقط لديه مخطط متعدد الأغراض يغطي السكان بالكامل." وفقًا للتقرير نفسه ، تختلف أسباب اعتماد الهوية الرقمية حسب الدولة: "في البلدان ذات الدخل المرتفع ، تمثل الهوية الرقمية ترقية من أنظمة الهوية المادية القديمة الراسخة والقوية التي عملت بشكل معقول في الماضي" ، بينما " البلدان منخفضة الدخل ... غالبًا ما تفتقر إلى أنظمة قوية للتسجيل المدني وبطاقات الهوية المادية وتقوم ببناء أنظمة تحديد الهوية الخاصة بها على أساس رقمي ، متخطية بذلك النظام المادي التقليدي ". في كلتا الحالتين ، من الواضح أن الاتجاه العالمي نحو إنشاء أنظمة هوية رقمية وطنية جديدة أو توسيع الأنظمة الحالية.

في كثير من الحالات ، تشمل مثل هذه المبادرات تشريعات لإنشاء وكالة مكلفة بتطوير وإنفاذ المعايير الوطنية البنية التحتية للمفتاح العام (PKI)، ترخيص محلي المراجع المصدقة (CA) لتقديم شهادات رقمية و / أو تطوير تديرها الحكومة PKI والمراجع المصدقة. عادة ما يتم إعطاء هذه الوكالات العنوان هيئة تكنولوجيا المعلومات والاتصالات (أو هيئة تكنولوجيا المعلومات والاتصالات). تهدف هذه المقالة إلى تزويد صناع القرار في السلطات الوطنية لتكنولوجيا المعلومات والاتصالات والمراجع المصدقة بالمعلومات التي يحتاجونها للإجابة على أسئلة مهمة مثل:

• هل يجب أن نطور منطقتنا الداخلية PKI، أو التعاقد على خدمات المراجع المصدقة الموجودة؟
• ما هو المسار الأسرع والأكثر فعالية لتقديم شهادات موثوق بها لمواطنينا؟

PKIوالشهادات الرقمية والمراجع المصدقة: مراجعة سريعة

شيء صغير، البنية التحتية للمفتاح العام (PKI) يستخدم لإدارة أزواج مفاتيح عامة وخاصة وربطها بهويات الكيانات ، مثل الأشخاص والمنظمات ، من خلال إصدار الوثائق الإلكترونية المطلوبة شهادات رقميةالرياضيات وراء PKI تأكد من أنه إذا كانت الشهادة وقعت باستخدام المفتاح الخاص لكيان معين ، يمكن لأي شخص لديه المفتاح العام من الزوج:

• تحقق من أن الكيان الذي يقدم الشهادة الموقعة يمتلك مفتاحه الخاص المقابل (أصالة).
• ثق في أن محتوى الشهادة لم يتغير منذ إنشائه في البداية (النزاهة).
• استخدم المفتاح العام لتشفير رسالة لا يمكن فك تشفيرها إلا باستخدام المفتاح الخاص المرتبط بها (تشفير).

من خلال تمكين الأصالة والنزاهة والتشفير ، PKI والشهادات الرقمية تسمح بالاتصال الآمن عبر الشبكات غير الآمنة ، مثل الإنترنت. منظمة تحافظ على أ PKI ويدير إصدار وإلغاء الشهادات الرقمية المعروفة باسم مرجع مصدق (CA).

الثقة العامة مقابل الثقة الخاصة

على الرغم من وجود العديد من التطبيقات للشهادات الرقمية ، إلا أن استخدامها الأكثر شهرة هو تصفح الويب الآمن ، والذي أصبح ممكنًا من خلال SSL /TLS وبروتوكولات HTTPS. لمنع تحذيرات المتصفح ورسائل الخطأ ، يجب توقيع الشهادات الرقمية الصادرة لمواقع الويب العامة من قِبل مرجع مصدق عام. من المستحسن أيضًا الثقة العامة لاستخدام الشهادات مع عملاء البريد الإلكتروني وأنظمة تشغيل سطح المكتب والبرامج الأخرى للمستخدمين النهائيين ، بحيث لا يضطر المستخدمون أو موظفو تكنولوجيا المعلومات إلى إضافة شهادات موثوق بها بشكل خاص إلى مخازن شهادات نظام التشغيل.

تتم مراجعة المراجع المصدقة الموثوقة بشكل منتظم ودقيق للامتثال لمعايير الصناعة ، مثل WebTrust للمراجع المصدقة، ليتم تضمينها في متاجر الثقة العامة لموردي أنظمة التشغيل والبرامج الرئيسية مثل Microsoft و Apple و Google و Mozilla. قد يستغرق الأمر سنوات عديدة حتى يتم تضمين CA في جميع هذه البرامج ، ويجب أن يخضعوا لعمليات تدقيق منتظمة وصارمة من أجل الحفاظ على هذا الوضع. في المقابل ، لا تخضع المراجع المصدقة الموثوقة بشكل خاص لهذه المعايير ، ولكنها ليست مفيدة للتطبيقات التي تواجه الجمهور.

لماذا يجب على الحكومات التحرك نحو PKIالأمن السيبراني القائم؟

لقد أشعل الرقمنة المتزايدة للسجلات والمعاملات الحكومية العامة في السنوات العديدة الماضية أعين المتطفلين لمجرمي الإنترنت. الحكومات هي حافظة الأموال العامة الضخمة وقد أظهر المحتالون عبر الإنترنت أنهم مثابرون في تجربة أساليب مختلفة يمكن أن تسمح لهم بالحصول على هذه المكافآت المالية. تمتلك الدول أيضًا كميات هائلة من المعلومات السرية التي ، بعد اختراقها بنجاح ، تم استخدامها في تكتيكات برامج الفدية والابتزاز.  

مقال من مجلة الأمن ينص علي "نتج عن ما يقدر بمليوني هجوم إلكتروني في عام 2018 خسائر بأكثر من 45 مليار دولار في جميع أنحاء العالم حيث كافحت الحكومات المحلية للتعامل مع برامج الفدية وغيرها من الحوادث الضارة ". 

كان عام 2018 هو الوقت الذي أصبحت فيه الولايات المتحدة هي الدولة التي تلقت أكبر خسائر مالية بسبب الهجمات الإلكترونية ، حيث وصلت الأرقام إلى أكثر من 13.7 مليار دولار. 

ربما يكون أحد الأسباب الرئيسية لضرورة قيام الدول بتحسين الأمن السيبراني باستمرار هو أنها تجمع الكثير من المعلومات الشخصية من المواطنين الذين يعهدون برعايتهم إلى هذه المؤسسات العامة.

الهجمات الإلكترونية الحكومية البارزة

هذا المثال الأول ليس هجومًا خبيثًا ولكنه اختراق للقبعة البيضاء قام به الباحث الأمني ​​كريس فيكري في عام 2015. اكتشف قاعدة بيانات خاطئة كشفت عن المعلومات الشخصية لـ 191 مليون ناخب في جميع أنحاء البلاد لأي شخص تقريبًا على الإنترنت. من بين تلك المعلومات غير المحمية اسم الناخب وتاريخ ميلاده وعنوانه ورقم هاتفه. ضابط شرطة كان مقابلات فيما يتعلق بهذا التسريب ، أعرب عن قلقه على سلامته لأن المجرمين تمكنوا بعد ذلك من الوصول إلى معلومات عنه. 

لقد ترك هجوم SolarWinds لعام 2019 - الذي يُعد أكثر عمليات التجسس القائمة على الإنترنت إثارة للقلق والذي تم إجراؤه ضد حكومة الولايات المتحدة - آلاف الشبكات الحكومية عرضة للهجمات السيبرانية. تم اختراق حسابات البريد الإلكتروني الخاصة بـ 27 من المدعين العامين الأمريكيين ، وربما تم اختراق معلومات حساسة حول التحقيقات الحكومية والمخبرين. كما تم اختراق حسابات البريد الإلكتروني الخاصة بالمسؤولين في وزارتي التجارة والخزانة. 

تعرضت وزارة الصحة والخدمات في ألاسكا (DHSS) للهجوم في مايو 2021 عندما وجد موقعها الإلكتروني أنه معرض للخطر من قبل المتسللين الذين من المحتمل أن يكشفوا معلومات التعريف الخاصة (PII) لعدد لا يحصى من الأفراد ، بما في ذلك أرقام هواتفهم وأرقام الضمان الاجتماعي و معلومات مالية. أحد مخاطر سرقة هذه المعلومات الحساسة هو أن المتسللين يمكنهم استخدام هذه الأساليب لتوظيف أساليب الهندسة الاجتماعية مثل استدعاء البنوك والعمل على خداع موظفي البنك لإحداث تغييرات في الحسابات المصرفية للضحايا. 

وقع مسؤولو بلدة بيتربورو في نيو هامبشاير ضحية في يوليو الماضي من قبل قراصنة الهندسة الاجتماعية باستخدام استراتيجية تسمى تسوية البريد الإلكتروني للأعمال (BEC). تم إرسال المسؤولين التابعين للإدارة المالية للبلدة برسائل بريد إلكتروني مقنعة تطالبهم بإرسال مدفوعات الخدمة العامة إلى حساب مصرفي آخر. تم تنفيذ تكتيك الاحتيال هذا بنجاح مرتين في شهر واحد وسرق لصوص الإنترنت ما مجموعه 2.3 مليون دولار.

حكومة PKI التطوير: داخلي مقابل مستضاف

بمجرد أن تقرر الحكومة أنها بحاجة إلى PKI لإصدار شهادات لمواطنيها (أو تسعى شركة محلية للحصول على ترخيص لتقديم شهادات نيابة عن الحكومة) ، فإن الفكرة الأولى الشائعة هي الاستثمار في تطوير بنية تحتية مستقلة. بعد كل شيء ، يتوفر برنامج لتنفيذ CA موقعة ذاتيًا بتكلفة منخفضة أو بدون تكلفة من خلال برامج مثل Windows Server و OpenSSL و EJBCA. ومع ذلك ، للوهلة الثانية ، فإن هذا الخيار لديه العديد من التحديات والتكاليف المحتملة لكسر الصفقات للتغلب عليها:

• إن تحقيق ثقة الجمهور من أجل الاستخدام السلس مع أنظمة تشغيل سطح المكتب والبرامج مثل متصفحات الويب وعملاء البريد الإلكتروني وأجنحة المكاتب هو عملية طويلة وشاقة عادةً ، ولا يتم ضمان تحقيق هذه الحالة وصيانتها بنجاح.
• تكاليف إيجاد وتوظيف موظفين مؤهلين للعمل بشكل آمن وفعال PKI على المستوى الوطني كبيرة.
• تكاليف الأجهزة والشبكات المرتبطة بإنشاء والحفاظ على مواطن PKI قد يكون أكبر من المتوقع في البداية. علاوة على ذلك ، محاولات للتوسع PKI (على سبيل المثال ، لتغطية المزيد من المواطنين وتمكين خدمات حكومية أساسية إضافية) من المحتمل أن تتطلب خبرة وبنية تحتية إضافية بمرور الوقت.

نظرًا لأن التكنولوجيا الرقمية والاحتياجات الأمنية المرتبطة بها تصبح أكثر تشابكًا مع العمليات الحكومية والمزيد من الوكالات والمواطنين على الاستفادة الكاملة من الشهادات الرقمية والأجهزة والشبكات وتكاليف الموظفين ، يمكن توقع نموها. يمكن أن تكون هذه التكاليف المتزايدة عاملاً مقيدًا للاستخدام PKI إلى أقصى إمكاناتها لخدمة الأمة ومواطنيها.

مزايا الاستضافة PKI

بعض المراجع التجارية العامة ، بما في ذلك SSL.com، يعرض حاليًا مستضافًا بشكل عام وموثوق به بشكل خاص PKI كخدمة ، وتقديم الإمكانية للحكومات والمرخص لهم لتجاوز العديد من القضايا المفصلة أعلاه. علاوة على ذلك ، فإن معايير الصناعة للأمان والموثوقية التي تتمسك بها CAs عادةً ما تكون بالفعل في الامتثال ل PKI المعايير والمبادئ التوجيهية الصادرة عن السلطات الوطنية لتكنولوجيا المعلومات والاتصالات. عن طريق اختيار استضافة PKI مع مرجع مصدق عام مرموق ، يمكن أن تتوقع الحكومات أن تجد:

• أنظمة فعالة موجودة بالفعل لإصدار الشهادة ، وصيانة دورة الحياة ، وانتهاء الصلاحية ، إلى جانب الإخطارات الآلية لانتهاء صلاحية الشهادة الوشيك.
• A PKI تعمل بالفعل بنجاح على نطاق عالمي.
• شهادة مصدق (CA) تخضع لعمليات تدقيق متكررة ومفصلة تفي بالمعايير الموضوعة من قبل هيئة تكنولوجيا المعلومات والاتصالات في الدولة أو تتجاوزها ، وهي مطلوبة لمواكبة معايير الصناعة المتطورة وأفضل الممارسات.

في معظم الحالات - وخاصة بالنسبة للدول النامية - سيتبين أن الحل المستضاف أقل تكلفة ، وأبسط في التنفيذ ، وأكثر أمانًا من محاولة تطوير منتج محلي. PKI.

استضافت PKI من SSL.com

لعملائنا الحكوميين على الصعيد العالمي ، SSL.com يقدم الفوائد التالية على مستوى عالمي:

• حلول مخصصة: تتعاون SSL.com مع الحكومات والمرخص لهم في جميع أنحاء العالم لتحسين إنشاء الشهادات وتثبيتها ودورات حياتها لبطاقات الهوية الذكية والتطبيقات الأخرى.
• المرجع المصدق التابع للعلامة التجارية: مستضاف المرجع المصدق التابع (المعروف أيضا باسم إصدار المرجع المصدق) من SSL.com تحكمًا كاملاً في إصدار وإدارة الشهادات الموثوقة بشكل عام أو خاص ، بجزء بسيط من تكلفة إنشاء مرجع مصدق جذري خاص بهم و PKI بنية تحتية. على سبيل المثال ، يمكن للمرجع المحلي CA المرخص له بإصدار شهادات نيابة عن الحكومة أن يحقق على الفور ثقة الجمهور, التدقيق المطلوبو الشهادات الرقمية ذات العلامات التجارية.
• أدوات الإدارة: تسمح أدوات الإدارة عبر الإنترنت لـ SSL.com للمستخدمين بإصدار كميات كبيرة من الشهادات بسهولة وإدارة دورة حياتهم.
• API: يمكن للمسؤولين أتمتة إصدار الشهادة ودورة حياتها بسهولة باستخدام SSL.com واجهة برمجة تطبيقات خدمات ويب SSL (SWS).

ما هي الخدمات المحددة التي تقدمها SSL.com والتي تساعد في مكافحة تهديدات الأمن السيبراني التي تواجهها الوكالات الحكومية؟

SSL شهائد

يمكن لشهادات SSL الخاصة بنا تأمين مواقع الويب الحكومية عن طريق تشفير المعلومات الشخصية والحساسة التي تم تحميلها عليها بواسطة المستخدمين العموميين ، بما في ذلك عناوين منازلهم وأسماء المستخدمين وكلمات المرور وأرقام الضمان الاجتماعي والتفاصيل المالية. نستخدم تشفير المفتاح العام القياسي في الصناعة المشار إليه باسم 2048+ Bit SHA2 الذي يصعب اختراقه من قبل المتسللين. نقدم أيضًا شهادة Wildcard SSL وهي عملية جدًا لاستخدامها في المكاتب الحكومية. تسمح Wildcard SSL لوكالة حكومية بحماية موقعها الإلكتروني الرئيسي وكذلك مواقعها الفرعية / نطاقاتها الفرعية بشهادة واحدة فقط. بالنظر إلى أن الإدارات الحكومية لديها إدارات متعددة تحت إشرافها ، لها دوائر وقائية شاملة PKI تقلل الشهادة بشكل كبير من احتمال قدرة المهاجمين على تنفيذ هجمات مستتر. انقر هنا للاختيار من بين الأنواع المتعددة لشهادات SSL التي نقدمها ، بما في ذلك Wildcard.  

امتدادات بريد الإنترنت الآمن / متعدد الأغراض (S/MIME)

كما تمت مناقشته في القسم السابق ، كانت رسائل البريد الإلكتروني استراتيجية أساسية يستخدمها مجرمو الإنترنت في سرقة مبالغ ضخمة من الأموال والبيانات الحساسة من الوكالات الحكومية. هذا هو المكان S/MIME يأتي كأداة دفاعية قوية في حماية أنظمة البريد الإلكتروني الحكومية والمعاملات. استخدام PKI والتشفير غير المتماثل ، و S/MIME تسمح شهادة من SSL.com لوكالة حكومية بضمان صحة رسائل البريد الإلكتروني بين موظفيها ومسؤوليها. إذا كان هناك اتصال بين إدارتين أو مكاتب حكومية أو أكثر ، فإن S/MIME توفر الشهادة أيضًا ضمانًا بأن رسائل البريد الإلكتروني تأتي بالفعل من مصدر موثوق وأن رسائل البريد الإلكتروني محمية أثناء النقل لأنها مشفرة. بالإضافة إلى، S/MIME يعد أيضًا رادعًا قويًا لموظفي الحكومة والمسؤولين عن خداع المتسللين أو التصرف بإهمال لأنه ينشئ نظامًا يتم فيه تقييم رسائل البريد الإلكتروني الواردة أولاً لمعرفة ما إذا كانت مشفرة بمفتاح تشفير يثبت أن هوية مصدر البريد الإلكتروني شرعية . لذلك ، بغض النظر عما إذا كانت رسالة البريد الإلكتروني الاحتيالية قد تم تصميمها اجتماعيًا لتبدو وكأنها واردة من مصدر حقيقي ، فإن عدم وجود S/MIME ستحذر الشهادة على الفور حتى أقل الموظفين ذكاءً من الناحية التقنية من الترفيه عنها. اذهب إلى هذه الصفحة لمعرفة أي S/MIME شهادة من SSL.com تناسب احتياجاتك.

التوقيع السحابي eSigner

الوكالات الحكومية تتعامل مع الكثير من الوثائق. كان إرسال مستندات موثوقة مزيفة أحد الأساليب التي يستخدمها المتسللون لسرقة المعلومات السرية والأموال وبيانات المستخدم من الوكالات الحكومية. استخدام PKI تقنية التشفير والسحابة ، يتيح تطبيق eSigner Express الخاص بـ SSL.com للمكاتب العامة التوقيع والمصادقة على المستندات بأمان من أي جهاز متصل بالإنترنت. هذه الميزة مناسبة بشكل خاص خلال وباء Covid-19 حيث تقوم العديد من المكاتب بتنفيذ مستوى معين من العمل عن بعد لموظفيها. لقد ثبت أن التكنولوجيا السحابية أرخص بكثير من معدات التخزين المرتبطة بالأجهزة. نظرًا لأن eSigner هو نظام تخزين قائم على البرامج ، فإنه يوفر أيضًا حماية تكون غير منفذة فعليًا من الكوارث مثل الحرائق والزلازل والفيضانات والسطو المادي.

SSL.com لديه جميع الأدوات اللازمة للاستضافة أو ذات العلامات التجارية أو الموثوق بها بشكل عام أو خاص PKI يستوفي المبادئ التوجيهية لهيئات تكنولوجيا المعلومات والاتصالات في معظم البلدان أو الهيئات التنظيمية الأخرى لتكنولوجيا المعلومات. إذا كنت ترغب في الاتصال بنا للحصول على مزيد من المعلومات ، أو لإعلامنا باحتياجاتك الخاصة ، أو لمراجعة موظفينا وتأكيد قدرتنا على الامتثال لإرشاداتك الوطنية ، يرجى الاتصال بنا عبر البريد الإلكتروني على Sales@SSL.com or Support@SSL.com، مكالمة +1-SSL-SECURE، أو فقط انقر على رابط الدردشة في أسفل يمين هذه الصفحة.